

(19)日本国特許庁 (JP)

(12) 公開特許公報 (A)

(11)特許出願公開番号

特開2000-315201

(P2000-315201A)

(43)公開日 平成12年11月14日 (2000.11.14)

(51)Int.Cl.<sup>7</sup>  
G 0 6 F 17/10

識別記号

F I  
G 0 6 F 15/31

テ-マコ-ト<sup>8</sup> (参考)  
Z 5 B 0 5 6

審査請求 未請求 請求項の数 8 O.L. (全 16 頁)

(21)出願番号 特願平11-124804

(22)出願日 平成11年4月30日 (1999.4.30)

(71)出願人 000006013

三菱電機株式会社

東京都千代田区丸の内二丁目2番3号

(72)発明者 藤田 八郎  
東京都千代田区丸の内二丁目2番3号 三菱電機株式会社内

(72)発明者 吉田 英夫  
東京都千代田区丸の内二丁目2番3号 三菱電機株式会社内

(74)代理人 100066474  
弁理士 田澤 博昭 (外1名)  
F ターム(参考) 5B056 AA01 AA04 BB00 FF01 FF02  
FF05

(54)【発明の名称】 ガロア体乗算回路およびガロア体逆元演算回路

(57)【要約】

【課題】 演算回路全体の回路規模を低減することが困難であった。

【解決手段】 第1の選択回路3は部分体元 $x_0$ 、部分体元 $x_1$ および部分体元 $x_0$ 、 $x_1$ の和のうちのいずれかを選択し、第2の選択回路6は部分体元 $y_0$ 、部分体元 $y_1$ および部分体元 $y_0$ 、 $y_1$ の和のうちのいずれかを選択し、選択された部分体元の積が部分体乗算回路7により演算される。第3および第4の部分体加算回路8 A、8 B並びにスイッチ回路9 A、9 Bはそれぞれ所定のタイミングにおいて第3および第4の部分体加算回路8 A、8 Bによる和で、元 $x$ 、 $y$ の積 $z$ に対応する記憶回路10 A、10 Bに記憶された部分体の元 $z_0$ 、 $z_1$ を累積更新する。



2: 第1の部分体加算回路  
5: 第2の部分体加算回路  
8A: 第3の部分体加算回路  
8B: 第4の部分体加算回路  
9A: スイッチ回路 (第1の更新回路)  
9B: スイッチ回路 (第2の更新回路)  
10A: 記憶回路 (第1の記憶回路)  
10B: 記憶回路 (第2の記憶回路)

1

## 【特許請求の範囲】

【請求項1】 ガロア体の第1の元と第2の元との積を演算するガロア体乗算回路において、  
 nを奇数とするガロア体GF(2<sup>2n</sup>)の部分体GF(2<sup>n</sup>)の元であって前記ガロア体GF(2<sup>2n</sup>)の第1の元に対応する第1の部分体元および第2の部分体元の和を第3の部分体元として演算する第1の部分体加算回路と、  
 前記部分体の元であって前記ガロア体GF(2<sup>2n</sup>)の第2の元に対応する第4の部分体元と第5の部分体元との和を第6の部分体元として演算する第2の部分体加算回路と、  
 前記第1の部分体元、前記第2の部分体元および前記第3の部分体元のうちのいずれかを選択する第1の選択回路と、  
 前記第4の部分体元、前記第5の部分体元および前記第6の部分体元のうちのいずれかを選択する第2の選択回路と、  
 前記第1の選択回路により選択された部分体元と前記第2の選択回路により選択された部分体元との積を演算する部分体乗算回路と、  
 前記第1の元および前記第2の元の積に対応する前記部分体の2つの元のうちの一方となる前記部分体の元を記憶する第1の記憶回路と、  
 前記第1の元および前記第2の元の積に対応する前記部分体の2つの元のうちの他方となる前記部分体の元を記憶する第2の記憶回路と、  
 前記第1の記憶回路に記憶された前記部分体の元と前記部分体乗算回路による積との和を演算する第3の部分体加算回路と、  
 前記第2の記憶回路に記憶された前記部分体の元と前記部分体乗算回路による積との和を演算する第4の部分体加算回路と、  
 所定のタイミングにおいて前記第3の部分体加算回路による和で、前記第1の記憶回路に記憶された前記部分体の元を更新する第1の更新回路と、  
 所定のタイミングにおいて前記第4の部分体加算回路による和で、前記第2の記憶回路に記憶された前記部分体の元を更新する第2の更新回路とを備えることを特徴とするガロア体乗算回路。

【請求項2】 第1の記憶回路および第2の記憶回路は初期値として0を記憶し、  
 第1の選択回路は、第1のタイミングで第1の部分体元を選択し、第2のタイミングで第2の部分体元を選択し、第3のタイミングで第3の部分体元を選択し、  
 第2の選択回路は、前記第1のタイミングで第4の部分体元を選択し、前記第2のタイミングで第5の部分体元を選択し、前記第3のタイミングで第6の部分体元を選択し、  
 第1の更新回路は、前記第1のタイミングおよび前記第2のタイミングで更新し、  
 第2の更新回路は、前記第3のタイミングおよび前記第4のタイミングで更新する。

2

2のタイミングで更新し、  
 第2の更新回路は、前記第1のタイミングおよび前記第3のタイミングで更新することを特徴とする請求項1記載のガロア体乗算回路。

【請求項3】 nを自然数とし、  
 第1の選択回路は、第1の部分体元、第2の部分体元、第3の部分体元、およびガロア体GF(2<sup>2n</sup>)から部分体GF(2<sup>n</sup>)へのノルムである第7の部分体元のうちのいずれかを選択し、  
 第2の選択回路は、第4の部分体元、第5の部分体元、第6の部分体元、および部分体乗算回路による積のうちのいずれかを選択することを特徴とする請求項1記載のガロア体乗算回路。

【請求項4】 第1の記憶回路および第2の記憶回路は初期値として0を記憶し、  
 第1の選択回路は、第4のタイミングで第1の部分体元を選択し、第5のタイミングで第2の部分体元を選択した後に第6のタイミングで第7の部分体元を選択し、第7のタイミングで第3の部分体元を選択し、  
 第2の選択回路は、前記第4のタイミングで第4の部分体元を選択し、前記第5のタイミングで第5の部分体元を選択した後に前記第6のタイミングで、前記第5のタイミングにおける部分体乗算回路による積を選択し、前記第7のタイミングで第6の部分体元を選択し、  
 第1の更新回路は、前記第4のタイミングおよび前記第6のタイミングで更新し、  
 第2の更新回路は、前記第4のタイミングおよび前記第7のタイミングで更新することを特徴とする請求項3記載のガロア体乗算回路。

【請求項5】 ガロア体の元の逆元を演算するガロア体逆元演算回路において、  
 nを奇数とするガロア体GF(2<sup>2n</sup>)の部分体GF(2<sup>n</sup>)の元であって前記ガロア体GF(2<sup>2n</sup>)の元に対応する第1の部分体元および第2の部分体元の和を第8の部分体元として演算する第5の部分体加算回路と、  
 前記第2の部分体元および前記第8の部分体元のうちのいずれかを選択する第3の選択回路と、  
 前記部分体GF(2<sup>n</sup>)の元の逆元を演算する部分体逆元回路と、  
 前記第1の部分体元、前記第2の部分体元、および前記部分体逆元回路による逆元のうちのいずれかを選択する第4の選択回路と、  
 前記第3の選択回路により選択された部分体元と前記第4の選択回路により選択された部分体元との積を演算する部分体乗算回路と、  
 所定のタイミングでの前記部分体乗算回路による積を記憶または累積し、前記部分体逆元回路に供給する記憶累積回路と、  
 前記部分体GF(2<sup>n</sup>)の元であって前記ガロア体GF(2<sup>2n</sup>)の元の逆元に対応する第9の部分体元および第10の部分体元。

10の部分体元のうちの前記第9の部分体元として、所定のタイミングにおいて前記部分体乗算回路による積を出力する第1の出力回路と、

前記第10の部分体元として、所定のタイミングにおいて前記部分体乗算回路による積を出力する第2の出力回路とを備えることを特徴とするガロア体逆元演算回路。

【請求項6】 第3の選択回路は、第8のタイミングで第2の部分体元を選択し、第9のタイミングで第8の部分体元を選択し、第10のタイミングで第8の部分体元を選択し、第11のタイミングで第2の部分体元を選択し、

第4の選択回路は、前記第8のタイミングで前記第2の部分体元を選択し、前記第9のタイミングで第1の部分体元を選択し、前記第10のタイミングおよび第11のタイミングで部分体逆元回路による逆元を選択し、

記憶累積回路は、前記第8のタイミングで前記部分体乗算回路による積を記憶し、前記第9のタイミングでその記憶した値を前記部分体逆元回路に供給した後に前記部分体乗算回路による積を累積記憶し、前記第10のタイミングおよび第11のタイミングでその累積記憶した値を前記部分体逆元回路に供給し、

第1の出力回路は、前記第10のタイミングで出力し、第2の出力回路は、前記第11のタイミングで出力することを特徴とする請求項5記載のガロア体逆元演算回路。

【請求項7】  $n$  を自然数とし、

第3の選択回路は、第2の部分体元、第8の部分体元、およびガロア体  $GF(2^n)$  から部分体  $GF(2^n)$  へのノルムである第11の部分体元のうちのいずれかを選択し、

第4の選択回路は、第1の部分体元、第2の部分体元、部分体逆元回路による逆元、および記憶累積回路に記憶または累積された値のうちのいずれかを選択することを特徴とする請求項5記載のガロア体逆元演算回路。

【請求項8】 第3の選択回路は、第12のタイミングで第2の部分体元を選択し、第13のタイミングで第11の部分体元を選択し、第14のタイミングおよび第15のタイミングで第8の部分体元を選択し、第16のタイミングで前記第2の部分体元を選択し、

第4の選択回路は、前記第12のタイミングで前記第2の部分体元を選択し、前記第13のタイミングで記憶累積回路の記憶値を選択し、前記第14のタイミングで第1の部分体元を選択し、前記第15のタイミングおよび前記第16のタイミングで部分体逆元回路による逆元を選択し、

記憶累積回路は、前記第12のタイミングで前記部分体乗算回路による積を記憶し、前記第13のタイミングでその記憶した値を前記第4の選択回路に供給した後に前記部分体乗算回路による積を記憶し、前記第14のタイミングで前記部分体乗算回路による積を累積記憶し、前

記第15のタイミングおよび前記第16のタイミングでその累積記憶した値を前記部分体逆元回路に供給し、第1の出力回路は、前記第15のタイミングで出力し、第2の出力回路は、前記第16のタイミングで出力することを特徴とする請求項7記載のガロア体逆元演算回路。

【発明の詳細な説明】

【0001】

【発明の属する技術分野】この発明は、例えば符号化器や復号化器において、ガロア体の乗算や逆元演算などのガロア体演算を実行するガロア体乗算回路およびガロア体逆元演算回路に関するものである。

【0002】

【従来の技術】ガロア体の演算は誤り訂正符号の符号化や復号化において必要とされることが多く、様々な演算方法や演算回路が提案されている。特に基礎体  $GF(2)$

(2) 上の偶数次ガロア拡大体  $GF(2^n)$  での演算を、その部分体  $GF(2^m)$  での演算により実現する方法が、例えば特開平1-181232号公報、「有限体  $GF(2^n)$  演算回路に関する一検討」(松井ら著、電子情報通信学会信学技報IT88-14) (以下、文献1という)、「 $GF(2^m)$  における逆元の高速算法について」(森井、笠原著、電子情報通信学会信学技報IT87-24) および「 $GF(2^m)$  における逆元の高速算法について【II】」(森井、笠原著、電子情報通信学会信学技報IT87-54) に提案されている。

【0003】このうちの例えば文献1を参照して、ガロア体  $GF(2^n)$  での演算とその部分体  $GF(2^m)$  の演算との関係について説明する。

【0004】 $n$  を自然数とするガロア体  $GF(2^n)$

(以下、Kという) は部分体  $GF(2^m)$  (以下、Lという) を包含し、このガロア体Kは部分体Lの2次拡大体になる。ここで部分体Lに属さないガロア体Kの元aを選ぶと、集合  $\{1, a\}$  は部分体L上のガロア体Kの基底となる。ガロア体Kの元xは、この基底および部分体Lの2つの元  $x_0, x_1$  に基づいて  $x = x_0 + x_1 \times a$  と一意的に表される。また、元aは  $a^2 + T(a) \times a + N(a) = 0$  なる関係式を満たし、さらにaとして  $T(a) = 1$  を満たすものを選ぶ。ただし、次のように  $T(a)$  は元aのガロア体Kから部分体Lへのトレースを表し、 $N(a)$  はガロア体Kの元aのガロア体Kから部分体Lへのノルムを表す。

$$T(a) = a + a^2, \quad N(a) = a^2$$

【0005】そしてガロア体Kの演算は上述の基底上では部分体Lの演算に分解することができる。

【0006】まず、ガロア体Kの元xと元yとの加算について説明する。上述のように、ガロア体Kの元x, yを部分体Lの元  $x_0, x_1, y_0, y_1$  で表すと次に示すようになる。

$$x = x_0 + x_1 \times a$$

$$y = y_0 + y_1 \times a$$

【0007】したがってガロア体Kの元xと元yとの加算は、次に示すように、部分体Lの加算に分解される。

$$x + y = x_0 + y_0 + (x_1 + y_1) \times a$$

【0008】次にガロア体Kの元xと元yとの乗算について説明する。ガロア体Kの元x, yを同様に部分体Lの元x<sub>0</sub>, x<sub>1</sub>, y<sub>0</sub>, y<sub>1</sub>で表すと、ガロア体Kの元xと元yとの乗算は、部分体Lでの加算、乗算およびノルム倍乗算に分解される。なお、部分体Lの元に対する「-1」の乗算は「+1」の乗算と等価であるため、ガロア体Kの元xと元yとの乗算は次に示すようになる。

$$x \times y = x_0 \times y_0 + N(a) \times x_1 \times y_1 + \{ (x_0 + x_1) \times (y_0 + y_1) + x_0 \times y_0 \} \times a$$

【0009】同様に、ガロア体Kの元xの逆元x<sup>-1</sup>は、次に示すように、部分体Lでの加算、2乗演算、乗算、逆元演算およびノルム倍乗算により計算される。

$$x^{-1} = \{ x_0 \times (x_0 + x_1) + N(a) \times x_1^2 \}^{-1} \times (x_0 + x_1) + \{ x_0 \times (x_0 + x_1) + N(a) \times x_1^2 \}^{-1} \times x_1 \times a$$

【0010】このように、ガロア体Kでの加算、乗算および逆元演算は、その部分体Lでの演算に置き換えることができる。

【0011】図5は、例えば文献1に記載の従来のガロア体乗算回路を示すブロック図である。図において、151A～151Dはガロア体Kの部分体Lの2つの元の和をそれぞれ計算する部分体加算回路であり、152A～152Cはガロア体Kの部分体Lの2つの元の積をそれぞれ計算する部分体乗算回路であり、153は所定の基底{1, a}に基づいて、部分体Lの元に、ガロア体Kの元aについてのノルムN(a)を乗算するノルム乗算回路である。

【0012】次に動作について説明する。まず、ガロア体Kの元xに対応する部分体Lの2つの元x<sub>0</sub>, x<sub>1</sub>が部分体加算回路151Aに供給され、ガロア体Kの元yに対応する部分体Lの2つの元y<sub>0</sub>, y<sub>1</sub>が部分体加算回路151Bに供給される。また、部分体元x<sub>1</sub>, y<sub>1</sub>が部分体乗算回路152Aに供給され、部分体元x<sub>0</sub>, y<sub>0</sub>が部分体乗算回路152Bに供給される。

【0013】そして部分体加算回路151Aは、供給された2つの部分体元x<sub>0</sub>, x<sub>1</sub>の和(x<sub>0</sub>+x<sub>1</sub>)を計算して部分体乗算回路152Cに供給し、部分体加算回路151Bは、供給された2つの部分体元y<sub>0</sub>, y<sub>1</sub>の和(y<sub>0</sub>+y<sub>1</sub>)を計算して部分体乗算回路152Cに供給する。部分体乗算回路152Cは、供給された部分体元(x<sub>0</sub>+x<sub>1</sub>), (y<sub>0</sub>+y<sub>1</sub>)の積((x<sub>0</sub>+x<sub>1</sub>)×(y<sub>0</sub>+y<sub>1</sub>))を計算して部分体加算回路151Dに供給する。

【0014】一方、部分体乗算回路152Aは、供給された2つの部分体元x<sub>1</sub>, y<sub>1</sub>の積(x<sub>1</sub>×y<sub>1</sub>)を計

算してノルム乗算回路153に供給する。ノルム乗算回路153は、供給された部分体元(x<sub>1</sub>×y<sub>1</sub>)にノルムN(a)を乗算し、その演算結果(x<sub>1</sub>×y<sub>1</sub>×N(a))を部分体加算回路151Cに供給する。また部分体乗算回路152Bは、供給された2つの部分体元x<sub>0</sub>, y<sub>0</sub>の積(x<sub>0</sub>×y<sub>0</sub>)を計算して部分体加算回路151C, 151Dに供給する。

【0015】そして、部分体加算回路151Cは、供給された2つの部分体(x<sub>1</sub>×y<sub>1</sub>×N(a)), (x<sub>0</sub>×y<sub>0</sub>)の和を計算し、ガロア体Kの元x, yの積zを基底{1, a}で分解した際(z=z<sub>0</sub>+z<sub>1</sub>×a)の部分体Lの元z<sub>0</sub>(=x<sub>0</sub>×y<sub>0</sub>+x<sub>1</sub>×y<sub>1</sub>×N(a))として出力する。また、部分体加算回路151Dは、供給された2つの部分体((x<sub>0</sub>+x<sub>1</sub>)×(y<sub>0</sub>+y<sub>1</sub>)), (x<sub>0</sub>×y<sub>0</sub>)の和を計算し、ガロア体Kの元x, yの積zを基底{1, a}で分解した際(z=z<sub>0</sub>+z<sub>1</sub>×a)の部分体Lの元z<sub>1</sub>(=x<sub>0</sub>×y<sub>0</sub>+(x<sub>0</sub>+x<sub>1</sub>)×(y<sub>0</sub>+y<sub>1</sub>))として出力する。

【0016】このようにしてガロア体Kの元x, yの積zが演算される。

【0017】また、図6は、例えば文献1に記載の従来のガロア体逆元演算回路を示すブロック図である。図において、161Aおよび161Bはガロア体Kの部分体Lの2つの元の和をそれぞれ計算する部分体加算回路であり、162A～162Cはガロア体Kの部分体Lの2つの元の積をそれぞれ計算する部分体乗算回路であり、163は部分体Lの元の2乗を演算する部分体2乗回路であり、164は所定の基底{1, a}に基づいて、部分体Lの元に、ガロア体Kの元aについてのノルムN(a)を乗算するノルム乗算回路であり、165は部分体Lの元の逆元を演算する逆元回路である。

【0018】次に動作について説明する。まず、ガロア体Kの元xに対応する部分体Lの2つの元x<sub>0</sub>, x<sub>1</sub>が部分体加算回路161Aに供給され、さらに、部分体元x<sub>0</sub>が部分体乗算回路162Aに供給され、部分体元x<sub>1</sub>が部分体乗算回路162Cおよび部分体2乗回路163に供給される。

【0019】そして部分体加算回路161Aは、供給された2つの部分体元x<sub>0</sub>, x<sub>1</sub>の和(x<sub>0</sub>+x<sub>1</sub>)を計算して部分体乗算回路162A, 162Bに供給し、部分体乗算回路162Aは、供給された部分体元x<sub>0</sub>と部分体元(x<sub>0</sub>+x<sub>1</sub>)との積(x<sub>0</sub>×(x<sub>0</sub>+x<sub>1</sub>))を計算して部分体加算回路161Bに供給する。

【0020】一方、部分体2乗回路163は、供給された部分体元x<sub>1</sub>の2乗を計算してノルム乗算回路164に供給する。ノルム乗算回路164は、供給された部分体元(x<sub>1</sub><sup>2</sup>)にノルムN(a)を乗算し、その演算結果(x<sub>1</sub><sup>2</sup>×N(a))を部分体加算回路161Bに供給する。

【0021】そして、部分体加算回路161Bは、供給

された2つの部分体 ( $x_1^2 \times N (a)$ ) , ( $x_0 \times (x_0 + x_1)$ ) の和 ( $x_0 \times (x_0 + x_1) + x_1^2 \times N (a)$ ) を計算し、逆元回路165に供給する。逆元回路165は供給された部分体元 ( $x_0 \times (x_0 + x_1) + x_1^2 \times N (a)$ ) の逆元を演算し、部分体乗算回路162B, 162Cに供給する。

【0022】部分体乗算回路162Bは、部分体加算回路161Aからの部分体元 ( $x_0 + x_1$ ) と逆元回路165からの部分体元 ( $\{x_0 \times (x_0 + x_1) + x_1^2 \times N (a)\}^{-1}$ ) との積を計算し、ガロア体Kの元xの逆元zを基底 {1, a} で分解した際 ( $z = z_0 + z_1 \times a$ ) の部分体Lの元  $z_0 (= (x_0 + x_1) \times \{x_0 \times (x_0 + x_1) + x_1^2 \times N (a)\}^{-1})$  として出力する。

【0023】同様に、部分体乗算回路162Cは、供給された部分体元  $x_1$  と逆元回路165からの部分体元 ( $\{x_0 \times (x_0 + x_1) + x_1^2 \times N (a)\}^{-1}$ ) との積を計算し、ガロア体Kの元xの逆元zを基底 {1, a} で分解した際 ( $z = z_0 + z_1 \times a$ ) の部分体Lの元  $z_1 (= x_1 \times \{x_0 \times (x_0 + x_1) + x_1^2 \times N (a)\}^{-1})$  として出力する。

【0024】このようにしてガロア体Kの元xの逆元zが演算される。

【0025】なお、その他の従来の技術としては、例えば特開平2-217022号公報、特開平6-314979号公報、特開平9-305572号公報に記載のガロア体演算回路がある。

【0026】

【発明が解決しようとする課題】従来のガロア体乗算回路およびガロア体逆元演算回路は以上のように構成されているので、部分体元のための演算回路が多く必要になり、全体の回路規模を低減することが困難であるなどの課題があった。

【0027】例えば上述の従来のガロア体乗算回路では、3個の部分体乗算回路、4個の部分体加算回路および1個のノルム乗算回路で構成されており、特に他の部分体演算回路に比較して回路量が多い部分体乗算回路が多く使用されるため、全体での回路規模が大きくなってしまう。また上述の従来のガロア体逆元演算回路では、3個の部分体乗算回路、2個の部分体加算回路、1個の部分体2乗回路、1個のノルム乗算回路および1個の逆元回路で構成されており、部分体乗算回路が多く使用されるため、全体での回路規模が大きくなってしまう。

【0028】また、部分体演算回路はいずれもAND回路とEXOR回路で構成される組合せ回路であるため、部分体演算回路を直列／並列に多数接続して構成され、入力から出力までの遅延が大きくなり演算速度を高くすることが困難であるという課題があった。

【0029】この発明は上記のような課題を解決するためになされたもので、主に部分体乗算回路の数を少なく

するようにして、全体での回路規模を低減するとともに、演算速度を高くすることができるガロア体乗算回路およびガロア体逆元演算回路を得ることを目的とする。

【0030】

【課題を解決するための手段】この発明に係るガロア体乗算回路は、ガロア体  $G F (2^n)$  ( $n$  は奇数) の部分体  $G F (2^n)$  の元であってガロア体  $G F (2^n)$  の第1の元に対応する第1の部分体元および第2の部分体元の和を第3の部分体元として演算する第1の部分体加算回路と、部分体の元であってガロア体  $G F (2^n)$  の第2の元に対応する第4の部分体元と第5の部分体元との和を第6の部分体元として演算する第2の部分体加算回路と、第1の部分体元、第2の部分体元および第3の部分体元のうちのいずれかを選択する第1の選択回路と、第4の部分体元、第5の部分体元および第6の部分体元のうちのいずれかを選択する第2の選択回路と、第1の選択回路により選択された部分体元と第2の選択回路により選択された部分体元との積を演算する部分体乗算回路と、第1の元および第2の元の積に対応する部分体の2つの元のうちの一方となる部分体の元を記憶する第1の記憶回路と、第1の元および第2の元の積に対応する部分体の2つの元のうちの他方となる部分体の元を記憶する第2の記憶回路と、第1の記憶回路に記憶された部分体の元と部分体乗算回路による積との和を演算する第3の部分体加算回路と、第2の記憶回路に記憶された部分体の元と部分体乗算回路による積との和を演算する第4の部分体加算回路と、所定のタイミングにおいて第3の部分体加算回路による和で、第1の記憶回路に記憶された部分体の元を更新する第1の更新回路と、所定のタイミングにおいて第4の部分体加算回路による和で、第2の記憶回路に記憶された部分体の元を更新する第2の更新回路とを備えるものである。

【0031】この発明に係るガロア体乗算回路は、第1の記憶回路および第2の記憶回路に初期値として0を記憶し、第1のタイミングで、第1の選択回路が第1の部分体元を選択するとともに第2の選択回路が第4の部分体元を選択し、第1および第2の更新回路が更新をし、第2のタイミングで、第1の選択回路が第2の部分体元を選択するとともに第2の選択回路が第5の部分体元を選択し、第1の更新回路が更新をし、第3のタイミングで、第1の選択回路が第3の部分体元を選択するとともに第2の選択回路が第6の部分体元を選択し、第2の更新回路が更新するようにしたものである。

【0032】この発明に係るガロア体乗算回路は、 $n$  を自然数とし、第1の選択回路が第1の部分体元、第2の部分体元、第3の部分体元、およびガロア体  $G F (2^n)$  から部分体  $G F (2^n)$  へのノルムである第7の部分体元のうちのいずれかを選択し、第2の選択回路が第4の部分体元、第5の部分体元、第6の部分体元、および部分体乗算回路による積のうちのいずれかを選択

するようにしたものである。

【0033】この発明に係るガロア体乗算回路は、第1の記憶回路および第2の記憶回路に初期値として0を記憶し、第4のタイミングで、第1の選択回路が第1の部分体元を選択するとともに第2の選択回路が第4の部分体元を選択し、第1の更新および第2の更新回路が更新をし、第5のタイミングで、第1の選択回路が第2の部分体元を選択し、第2の選択回路が第5の部分体元を選択した後に第6のタイミングで、第1の選択回路が第7の部分体元を選択するとともに第2の選択回路が第5のタイミングにおける部分体乗算回路による積を選択し、第1の更新回路が更新をし、第7のタイミングで、第1の選択回路が第3の部分体元を選択するとともに第2の選択回路が第6の部分体元を選択し、第2の更新回路が更新をするようにしたものである。

【0034】この発明に係るガロア体逆元演算回路は、ガロア体GF( $2^{2n}$ ) (nは奇数)の部分体GF

( $2^n$ )の元であってガロア体GF( $2^{2n}$ )の元に対応する第1の部分体元および第2の部分体元の和を第8の部分体元として演算する第5の部分体加算回路と、第2の部分体元および第8の部分体元のうちのいずれかを選択する第3の選択回路と、部分体GF( $2^n$ )の元の逆元を演算する部分体逆元回路と、第1の部分体元、第2の部分体元、および部分体逆元回路による逆元のうちのいずれかを選択する第4の選択回路と、第3の選択回路により選択された部分体元と第4の選択回路により選択された部分体元との積を演算する部分体乗算回路と、所定のタイミングでの部分体乗算回路による積を記憶または累積し、部分体逆元回路に供給する記憶累積回路と、部分体GF( $2^n$ )の元であってガロア体GF( $2^{2n}$ )の元の逆元に対応する第9の部分体元および第10の部分体元のうちの第9の部分体元として所定のタイミングにおいて部分体乗算回路による積を出力する第1の出力回路と、第10の部分体元として所定のタイミングにおいて部分体乗算回路による積を出力する第2の出力回路とを備えるものである。

【0035】この発明に係るガロア体逆元演算回路は、第8のタイミングで、第3の選択回路が第2の部分体元を選択するとともに第4の選択回路が第2の部分体元を選択し、記憶累積回路が部分体乗算回路による積を記憶し、第9のタイミングで、第3の選択回路が第8の部分体元を選択するとともに第4の選択回路が第1の部分体元を選択し、記憶累積回路が記憶している値を部分体逆元回路に供給した後に部分体乗算回路による積を累積記憶し、第10のタイミングで、第3の選択回路が第8の部分体元を選択するとともに第4の選択回路が部分体逆元回路による逆元を選択し、記憶累積回路が累積記憶している値を部分体逆元回路に供給し、第1の出力回路が出力をし、第11のタイミングで、第3の選択回路が第2の部分体元を選択するとともに第4の選択回路が部分体元を選択する

体逆元回路による逆元を選択し、記憶累積回路が累積記憶している値を部分体逆元回路に供給し、第2の出力回路が出力をするようにしたものである。

【0036】この発明に係るガロア体逆元演算回路は、nを自然数とし、第3の選択回路が第2の部分体元、第8の部分体元、およびガロア体GF( $2^{2n}$ )から部分体GF( $2^n$ )へのノルムである第11の部分体元のうちのいずれかを選択し、第4の選択回路が第1の部分体元、第2の部分体元、部分体逆元回路による逆元、および記憶累積回路に記憶または累積された値のうちのいずれかを選択するようにしたものである。

【0037】この発明に係るガロア体逆元演算回路は、第12のタイミングで、第3の選択回路が第2の部分体元を選択するとともに第4の選択回路が第2の部分体元を選択し、記憶累積回路が部分体乗算回路による積を記憶し、第13のタイミングで、第3の選択回路が第11の部分体元を選択するとともに第4の選択回路が記憶累積回路の記憶値を選択し、記憶累積回路が記憶している値を第4の選択回路に供給した後に部分体乗算回路による積を記憶し、第14のタイミングで、第3の選択回路が第8の部分体元を選択するとともに第4の選択回路が第1の部分体元を選択し、記憶累積回路が部分体乗算回路による積を累積記憶し、第15のタイミングで、第3の選択回路が第8の部分体元を選択するとともに第4の選択回路が部分体逆元回路による逆元を選択し、記憶累積回路が累積記憶している値を部分体逆元回路に供給し、第1の出力回路が出力をし、第16のタイミングで、第3の選択回路が第2の部分体元を選択するとともに第4の選択回路が部分体逆元回路による逆元を選択し、記憶累積回路が累積記憶している値を部分体逆元回路に供給し、第2の出力回路が出力をするようにしたものである。

【0038】

【発明の実施の形態】以下、この発明の実施の一形態を説明する。

実施の形態1. この発明の実施の形態1によるガロア体乗算回路は、nを奇数とするガロア体GF( $2^{2n}$ )の2つの元x, yの積zを演算するものである。図1は、この発明の実施の形態1によるガロア体乗算回路の構成を示すブロック図である。

【0039】図において、1Aおよび1Bは、nを奇数とするガロア体GF( $2^{2n}$ )の部分体GF( $2^n$ )の元であってガロア体GF( $2^{2n}$ )の元x (第1の元) (=  $x_0 + x_1 \times \beta$ ,  $\beta$ は部分体GF( $2^n$ )に属さないガロア体GF( $2^{2n}$ )の元)に対応する部分体元 $x_0$  (第1の部分体元) および部分体元 $x_1$  (第2の部分体元) をそれぞれ供給され記憶する記憶回路であり、2は記憶回路1Aに記憶された部分体元 $x_0$  および記憶回路1Bに記憶された部分体元 $x_1$ の和を演算する第1の部分体加算回路であり、3は記憶回路1Aに記憶された部分体元 $x_0$  および記憶回路1Bに記憶された部分体元 $x_1$ の和を演算する第2の部分体加算回路である。

元 $x_0$ 、記憶回路1Bに記憶された部分体元 $x_1$ および第1の部分体加算回路2の演算結果である部分体元 $(x_0 + x_1)$ （第3の部分体元）のうちのいずれかを選択する第1の選択回路である。

【0040】4Aおよび4Bは、nを奇数とするガロア体GF(2<sup>2n</sup>)の部分体GF(2<sup>n</sup>)の元であってガロア体GF(2<sup>2n</sup>)の元y（第2の元） $(=y_0 + y_1 \times \beta)$ に対応する部分体元 $y_0$ （第3の部分体元）および部分体元 $y_1$ （第4の部分体元）をそれぞれ供給され記憶する記憶回路であり、5は記憶回路4Aに記憶された部分体元 $y_0$ および記憶回路4Bに記憶された部分体元 $y_1$ の和を演算する第2の部分体加算回路であり、6は記憶回路4Aに記憶された部分体元 $y_0$ 、記憶回路4Bに記憶された部分体元 $y_1$ および第2の部分体加算回路5の演算結果である部分体元 $(y_0 + y_1)$ （第6の部分体元）のうちのいずれかを選択する第2の選択回路である。

【0041】7は第1の選択回路3により選択された部分体元と第2の選択回路6により選択された部分体元との積を演算する部分体乗算回路である。8Aは記憶回路10Aに記憶された部分体元と部分体乗算回路7による積との和を演算する第3の部分体加算回路であり、8Bは記憶回路10Bに記憶された部分体元と部分体乗算回路7による積との和を演算する第4の部分体加算回路である。9Aは所定のタイミングにおいてオン状態になり、第3の部分体加算回路8Aによる和で、記憶回路10Aに記憶された部分体元を更新するスイッチ回路（第1の更新回路）であり、9Bは所定のタイミングにおいてオン状態になり、第4の部分体加算回路8Bによる和で、記憶回路10Bに記憶された部分体元を更新するスイッチ回路（第2の更新回路）である。

【0042】10Aは元xおよび元yの積z $(=z_0 + z_1 \times \beta)$ に対応する部分体GF(2<sup>n</sup>)の2つの元 $z_0, z_1$ のうちの一方（ $z_0$ ）に最終的に部分体元を記憶する記憶回路（第1の記憶回路）であり、10Bは元xおよび元yの積z $(=z_0 + z_1 \times \beta)$ に対応する部分体GF(2<sup>n</sup>)の2つの元 $z_0, z_1$ のうちの他方（ $z_1$ ）に最終的に部分体元を記憶する記憶回路（第2の記憶回路）である。

【0043】なお、nが奇数である場合、ガロア体GF(2<sup>2n</sup>)の上述の元 $\beta$ のノルムN $(\beta)$ は1とすることができます。ここで、一例としてnが7である場合について説明する。ガロア体GF(2<sup>14</sup>)の原始多項式を $x^{14} + x^{10} + x^6 + x + 1$ とし、その根（ガロア体GF(2<sup>14</sup>)の原始元）を $\alpha$ とする。 $\gamma = \alpha^{129}$ とおくと $\gamma$ は原始多項式 $x^7 + x + 1$ の根であり、 $\gamma$ より生成される部分体はガロア体GF(2<sup>7</sup>)になる。また、 $\beta = \alpha^{5461}$ とすると、 $\beta$ は部分体GF(2<sup>7</sup>)に属さないためガロア体GF(2<sup>14</sup>)は $\beta$ および $\gamma$ により生

成され、集合 $\{\beta\gamma^6, \beta\gamma^5, \beta\gamma^4, \beta\gamma^3, \beta\gamma^2, \beta\gamma, \beta, \gamma^6, \gamma^5, \gamma^4, \gamma^3, \gamma^2, \gamma, 1\}$ はガロア体GF(2<sup>14</sup>)の基礎体上の基底となる。このとき、 $\beta^3 = 1$ なる関係を満たすので $\beta$ についてのトレースT $(\beta)$ とノルムN $(\beta)$ は1となる。

【0044】次に動作について説明する。この実施の形態1によるガロア体乗算回路は、nを奇数とするガロア体GF(2<sup>2n</sup>)の2つの元x $(=x_0 + x_1 \times \beta)$ 、y $(=y_0 + y_1 \times \beta)$ の積z $(=z_0 + z_1 \times \beta)$ を3

10ステップで計算する。

【0045】まず、記憶回路1A、1Bに部分体元 $x_0, x_1$ がそれぞれ供給、記憶され、記憶回路4A、4Bに部分体元 $y_0, y_1$ がそれぞれ供給、記憶され、記憶回路10A、10Bに初期値0が記憶される。

【0046】第1のステップ（第1のタイミング）では、スイッチ回路9A、9Bがオン状態に制御され、第1の選択回路3が部分体元 $x_0$ を選択するとともに第2の選択回路6が部分体元 $y_0$ を選択する。したがって部分体乗算回路7に部分体元 $x_0$ と部分体元 $y_0$ とが供給され、それらの積 $(x_0 \times y_0)$ が部分体乗算回路7により計算され、部分体加算回路8A、8Bに供給される。

【0047】そして、部分体加算回路8A、8Bは、記憶回路10A、10Bに記憶された値（今の場合、初期値0）と部分体乗算回路7による積 $(x_0 \times y_0)$ との和をそれぞれ計算し、スイッチ回路9A、9Bを介して記憶回路10A、10Bにそれぞれ記憶させる。

【0048】次に第2のステップ（第2のタイミング）では、スイッチ回路9Aがオン状態に制御されるとともにスイッチ回路9Bがオフ状態に制御され、第1の選択回路3が部分体元 $x_1$ を選択するとともに第2の選択回路6が部分体元 $y_1$ を選択する。したがって部分体乗算回路7に部分体元 $x_1$ と部分体元 $y_1$ とが供給され、それらの積 $(x_1 \times y_1)$ が部分体乗算回路7により計算され、部分体加算回路8A、8Bに供給される。

【0049】そして、部分体加算回路8A、8Bは、記憶回路10A、10Bに記憶された値（今の場合、 $x_0 \times y_0$ ）と部分体乗算回路7による積 $(x_1 \times y_1)$ との和をそれぞれ計算する。今、スイッチ回路9Aだけが40オン状態であるので、部分体加算回路8Aによる和 $(x_0 \times y_0 + x_1 \times y_1)$ がスイッチ回路9Aを介して記憶回路10Aに記憶される。なお、記憶回路10Bには、そのまま、部分体元 $(x_0 \times y_0)$ が保持される。

【0050】最後に第3のステップ（第3のタイミング）では、スイッチ回路9Aがオフ状態に制御されるとともにスイッチ回路9Bがオン状態に制御され、第1の選択回路3が部分体元 $(x_0 + x_1)$ を選択するとともに第2の選択回路6が部分体元 $(y_0 + y_1)$ を選択する。したがって部分体乗算回路7に部分体元 $(x_0 + x_1)$ と部分体元 $(y_0 + y_1)$ とが供給され、それらの

50

積  $((x_0 + x_1) \times (y_0 + y_1))$  が部分体乗算回路 7 により計算され、部分体加算回路 8 A, 8 B に供給される。

【0051】そして、部分体加算回路 8 A は、記憶回路 10 A に記憶された値（今の場合、 $(x_0 \times y_0 + x_1 \times y_1)$ ）と部分体乗算回路 7 による積  $((x_0 + x_1) \times (y_0 + y_1))$  の和を計算し、部分体加算回路 8 B は、記憶回路 10 B に記憶された値（今の場合、 $x_0 \times y_0$ ）と部分体乗算回路 7 による積  $((x_0 + x_1) \times (y_0 + y_1))$  の和を計算する。今、スイッチ回路 9 B だけがオン状態であるので、部分体加算回路 8 B による和  $(x_0 \times y_0 + (x_0 + x_1) \times (y_0 + y_1))$  がスイッチ回路 9 B を介して記憶回路 10 B に記憶される。なお、記憶回路 10 A には、そのまま、部分体元  $(x_0 \times y_0 + x_1 \times y_1)$  が保持される。

【0052】このようにして第 1 ~ 第 3 のステップの処理により、元  $x$  および元  $y$  の積  $z$  ( $= z_0 + z_1 \times \beta$ ) に対応する部分体  $GF(2^n)$  の元  $z_0$  ( $= x_0 \times y_0 + x_1 \times y_1$ ) が記憶回路 10 A に記憶され、また出力され、部分体  $GF(2^n)$  の元  $z_1$  ( $= x_0 \times y_0 + (x_0 + x_1) \times (y_0 + y_1)$ ) が記憶回路 10 B に記憶され、出力される。なお、スイッチ回路 9 A, 9 B および第 1 および第 2 の選択回路 3, 6 の制御は、最終的に記憶回路 10 A, 10 B に記憶される値が上述のようになれば他の方式でもよい。

【0053】以上のように、この実施の形態 1 によれば、 $n$  が奇数であるガロア体  $GF(2^{2n})$  についてのガロア体乗算回路における部分体演算回路を 1 個の部分体乗算回路および 4 個の部分体加算回路としたので、その他に選択回路、スイッチ回路などが必要になるものの、全体の回路規模を低減することができるという効果が得られる。

【0054】また、演算を 3 つのステップに分割し、部分体演算のうち出力遅延の大きい部分体乗算を各ステップにおいて 1 回だけ実行するようにしたので、乗算全体での出力遅延が低減され、演算を高速に実行することができるという効果が得られる。

【0055】実施の形態 2. この発明の実施の形態 2 によるガロア体乗算回路は、 $n$  を自然数とするガロア体  $GF(2^{2n})$  の 2 つの元  $x, y$  の積  $z$  を演算するものである。図 2 は、この発明の実施の形態 2 によるガロア体乗算回路の構成を示すブロック図である。

【0056】図において、3 A は記憶回路 1 A に記憶された部分体元  $x_0$ 、記憶回路 1 B に記憶された部分体元  $x_1$ 、第 1 の部分体加算回路 2 の演算結果である部分体元  $(x_0 + x_1)$  および記憶回路 2 1 に記憶されたノルム  $N(\beta)$ （第 7 の部分体元）のうちのいずれかを選択する第 1 の選択回路である。

【0057】6 A は記憶回路 4 A に記憶された部分体元

$y_0$ 、記憶回路 4 B に記憶された部分体元  $y_1$ 、第 2 の部分体加算回路 5 の演算結果である部分体元 ( $= y_0 + y_1$ ) および記憶回路 2 3 に記憶された部分体元のうちのいずれかを選択する第 2 の選択回路である。

【0058】2 1 は元  $x, y$  と部分体元  $x_0, x_1, y_0, y_1$  との対応関係 ( $x = x_0 + x_1 \times \beta, y = y_0 + y_1 \times \beta$ ) を示す部分体  $GF(2^n)$  に属さないガロア体  $GF(2^{2n})$  の元  $\beta$  についてのガロア体  $GF(2^{2n})$  から部分体  $GF(2^n)$  へのノルム  $N(\beta)$  を供給され記憶する記憶回路であり、2 2 は部分体乗算回路 7 による積の供給先を所定のタイミングで切り換えるスイッチ回路であり、2 3 はスイッチ回路 2 2 を介して供給された部分体乗算回路 7 による積を記憶する記憶回路である。

【0059】なお、図 2 におけるその他の構成要素については実施の形態 1 によるもの（図 1）と同様であるのでその説明を省略する。また、ノルム  $N(\beta)$  は図示せぬ所定の演算回路により演算され供給される。

【0060】なお、 $n$  が自然数である場合、ガロア体  $GF(2^{2n})$  の上述の元  $\beta$  のノルム  $N(\beta)$  が 1 とは限らない。ここで  $n$  が 4 である場合について説明する。ガロア体  $GF(2^8)$  の原始多項式を  $x^8 + x^6 + x^5 + x^3 + 1$  とし、その根（ガロア体  $GF(2^8)$  の原始元）を  $\beta$  とする。 $\gamma = \beta^{238}$  とすると  $\gamma$  は原始多項式  $x^4 + x + 1$  の根であり、 $\gamma$  より生成される部分体はガロア体  $GF(2^4)$  になる。ガロア体  $GF(2^8)$  は  $\beta$  より生成され、集合  $\{\beta \gamma^3, \beta \gamma^2, \beta \gamma, \beta, \gamma^3, \gamma^2, \gamma, 1\}$  はガロア体  $GF(2^8)$  の基礎体上の基底となる。この場合のノルム  $N(\beta)$  は  $\beta^{17} (= \gamma^{14})$  である。

【0061】次に動作について説明する。この実施の形態 2 によるガロア体乗算回路は、 $n$  を自然数とするガロア体  $GF(2^{2n})$  の 2 つの元  $x$  ( $= x_0 + x_1 \times \beta$ ),  $y$  ( $= y_0 + y_1 \times \beta$ ) の積  $z$  ( $= z_0 + z_1 \times \beta$ ) を 4 ステップで計算する。

【0062】まず、記憶回路 1 A, 1 B に部分体元  $x_0, x_1$  がそれぞれ供給、記憶され、記憶回路 4 A, 4 B に部分体元  $y_0, y_1$  がそれぞれ供給、記憶され、記憶回路 2 1 にノルム  $N(\beta)$  が供給、記憶され、記憶回路 1 0 A, 1 0 B に初期値 0 が記憶される。

【0063】第 1 のステップ（第 4 のタイミング）では、スイッチ回路 9 A, 9 B がオン状態に制御されるとともにスイッチ回路 2 2 が部分体乗算回路 7 と部分体加算回路 8 A, 8 B とを電気的に接続し、第 1 の選択回路 3 A が部分体元  $x_0$  を選択するとともに第 2 の選択回路 6 A が部分体元  $y_0$  を選択する。したがって部分体乗算回路 7 に部分体元  $x_0$  と部分体元  $y_0$  とが供給され、それらの積 ( $x_0 \times y_0$ ) が部分体乗算回路 7 により計算され、スイッチ回路 2 2 を介して部分体加算回路 8 A, 8 B に供給される。

【0064】そして、部分体加算回路8A, 8Bは、記憶回路10A, 10Bに記憶された値（今の場合、初期値0）と部分体乗算回路7による積（ $x_0 \times y_0$ ）との和をそれぞれ計算し、記憶回路10A, 10Bに記憶させる。

【0065】次に第2のステップ（第5のタイミング）では、スイッチ回路22が部分体乗算回路7と記憶回路23とを電気的に接続し、第1の選択回路3Aが部分体元 $x_1$ を選択するとともに第2の選択回路6Aが部分体元 $y_1$ を選択する。したがって部分体乗算回路7に部分体元 $x_1$ と部分体元 $y_1$ とが供給され、それらの積（ $x_1 \times y_1$ ）が部分体乗算回路7により計算され、スイッチ回路22を介して記憶回路23に記憶される。

【0066】なお、このとき部分体加算回路8A, 8Bには値が供給されず、記憶回路10A, 10Bに記憶された値（今の場合、 $x_0 \times y_0$ ）はそのまま変化しない。

【0067】次に第3のステップ（第6のタイミング）では、スイッチ回路9Aがオン状態に制御されるとともにスイッチ回路9Bがオフ状態に制御されるとともに、スイッチ回路22が部分体乗算回路7と部分体加算回路8A, 8Bとを電気的に接続し、第1の選択回路3AがノルムN（ $\beta$ ）を選択するとともに第2の選択回路6Aが記憶回路23に記憶された部分体元（ $x_1 \times y_1$ ）を選択する。したがって部分体乗算回路7にノルムN（ $\beta$ ）と部分体元（ $x_1 \times y_1$ ）とが供給され、それらの積（ $N(\beta) \times x_1 \times y_1$ ）が部分体乗算回路7により計算され、スイッチ回路22を介して部分体加算回路8A, 8Bに供給される。

【0068】そして、部分体加算回路8A, 8Bは、記憶回路10A, 10Bに記憶された値（今の場合、 $x_0 \times y_0$ ）と部分体乗算回路7による積（ $N(\beta) \times x_1 \times y_1$ ）との和をそれぞれ計算する。今、スイッチ回路9Aだけがオン状態であるので、部分体加算回路8Aによる和（ $x_0 \times y_0 + N(\beta) \times x_1 \times y_1$ ）がスイッチ回路9Aを介して記憶回路10Aに記憶される。なお、記憶回路10Bには、そのまま、部分体元（ $x_0 \times y_0$ ）が保持される。

【0069】最後に第4のステップ（第7のタイミング）では、スイッチ回路9Aがオフ状態に制御されるとともにスイッチ回路9Bがオン状態に制御されるとともにスイッチ回路22が部分体乗算回路7と部分体加算回路8A, 8Bとを電気的に接続し、第1の選択回路3Aが部分体元（ $x_0 + x_1$ ）を選択するとともに第2の選択回路6Aが部分体元（ $y_0 + y_1$ ）を選択する。したがって部分体乗算回路7に部分体元（ $x_0 + x_1$ ）と部分体元（ $y_0 + y_1$ ）とが供給され、それらの積（ $(x_0 + x_1) \times (y_0 + y_1)$ ）が部分体乗算回路7により計算され、スイッチ回路22を介して部分体加算回路8A, 8Bに供給される。

【0070】そして、部分体加算回路8Aは、記憶回路10Aに記憶された値と部分体乗算回路7による積との和を計算し、部分体加算回路8Bは、記憶回路10Bに記憶された値（今の場合、 $x_0 \times y_0$ ）と部分体乗算回路7による積（ $(x_0 + x_1) \times (y_0 + y_1)$ ）との和を計算する。今、スイッチ回路9Bだけがオン状態であるので、部分体加算回路8Bによる和（ $x_0 \times y_0 + (x_0 + x_1) \times (y_0 + y_1)$ ）がスイッチ回路9Bを介して記憶回路10Bに記憶される。なお、記憶回路10Aには、そのまま、部分体元（ $x_0 \times y_0 + N(\beta) \times x_1 \times y_1$ ）が保持される。

【0071】このようにして第1～第4のステップの処理により、元 $x$ および元 $y$ の積 $z$ （ $= z_0 + z_1 \times \beta$ ）に対応する部分体GF（ $2^n$ ）の元 $z_0$ （ $= x_0 \times y_0 + N(\beta) \times x_1 \times y_1$ ）が記憶回路10Aに記憶され、また出力され、部分体GF（ $2^n$ ）の元 $z_1$ （ $= x_0 \times y_0 + (x_0 + x_1) \times (y_0 + y_1)$ ）が記憶回路10Bに記憶され、出力される。なお、スイッチ回路9A, 9B, 22および第1および第2の選択回路3A, 6Aの制御は、最終的に記憶回路10A, 10Bに記憶される値が上述のようになれば他の方式でもよい。

【0072】以上のように、この実施の形態2によれば、 $n$ が自然数であるガロア体GF（ $2^{2n}$ ）についてのガロア体乗算回路における部分体演算回路を1個の部分体乗算回路および4個の部分体加算回路としたので、その他に選択回路、スイッチ回路などが必要になるものの、全体の回路規模を低減することができるという効果が得られる。

【0073】また、演算を4つのステップに分割し、部分体演算のうち出力遅延の大きい部分体乗算を各ステップにおいて1回だけ実行するようにしたので、乗算全体での出力遅延が低減され、演算を高速に実行することができるという効果が得られる。

【0074】実施の形態3。この発明の実施の形態3によるガロア体逆元演算回路は、 $n$ を奇数とするガロア体GF（ $2^{2n}$ ）の元 $x$ の逆元 $z$ （ $= x^{-1}$ ）を演算するものである。図3は、この発明の実施の形態3によるガロア体逆元演算回路の構成を示すブロック図である。

【0075】図において、41Aおよび41Bは、 $n$ を奇数とするガロア体GF（ $2^{2n}$ ）の部分体GF（ $2^n$ ）の元であるガロア体GF（ $2^{2n}$ ）の元 $x$ （ $= x_0 + x_1 \times \beta$ 、 $\beta$ は部分体GF（ $2^n$ ）に属さないガロア体GF（ $2^{2n}$ ）の元）に対応する部分体元 $x_0$ （第1の部分体元）および部分体元 $x_1$ （第2の部分体元）をそれぞれ供給され記憶する記憶回路であり、42は、記憶回路41Aに記憶された部分体元 $x_0$ および記憶回路41Bに記憶された部分体元 $x_1$ の和（ $x_0 + x_1$ ）を演算する第5の部分体加算回路である。

【0076】43は、記憶回路41Bに記憶された部分体元 $x_1$ および第5の部分体加算回路42の演算結果で

ある部分体元 ( $x_0 + x_1$ ) (第8の部分体元) のうちのいずれかを選択する第3の選択回路であり、44は、記憶回路41Aに記憶された部分体元  $x_0$ 、記憶回路41Bに記憶された部分体元  $x_1$  および部分体逆元回路50による逆元のうちのいずれかを選択する第4の選択回路である。

【0077】45は、第3の選択回路43により選択された部分体元と第4の選択回路44により選択された部分体元との積を演算する部分体乗算回路であり、46は、部分体乗算回路45による積の供給先を所定のタイミングで切り換えるスイッチ回路である。

【0078】49は所定のタイミングでの部分体乗算回路45による積を記憶または累積し、部分体逆元回路50に供給する記憶累積回路である。記憶累積回路49において、47は、記憶回路48に記憶された部分体元と、スイッチ回路46を介して供給された部分体乗算回路45による積との和を計算する部分体加算回路であり、48は部分体加算回路47の演算結果を記憶する記憶回路である。50は、記憶回路48に記憶された部分体元の逆元を演算する部分体逆元回路である。

【0079】53Aは、部分体GF( $2^n$ )の元であってガロア体GF( $2^{2n}$ )の元xの逆元  $z (= z_0 + z_1 \times \beta)$  に対応する部分体元  $z_0$  (第9の部分体元)として、所定のタイミングにおいてスイッチ回路46を介して部分体乗算回路45による積を出力する第1の出力回路である。第1の出力回路53Aにおいて、51Aは、所定のタイミングにおいてオン状態になり、スイッチ回路46を介して供給される部分体乗算回路45による積を記憶回路52Aに記憶させるスイッチ回路であり、52Aは部分体元  $z_0$  を記憶する記憶回路である。

【0080】53Bは、逆元  $z (= z_0 + z_1 \times \beta)$  に対応する部分体元  $z_1$  (第10の部分体元)として、所定のタイミングにおいてスイッチ回路46を介して部分体乗算回路45による積を出力する第2の出力回路である。第2の出力回路53Bにおいて、51Bは、所定のタイミングにおいてオン状態になり、スイッチ回路46を介して供給される部分体乗算回路45による積を記憶回路52Bに記憶させるスイッチ回路であり、52Bは部分体元  $z_1$  を記憶する記憶回路である。

【0081】次に動作について説明する。この実施の形態3によるガロア体逆元演算回路は、nを奇数とするガロア体GF( $2^n$ )の元x ( $= x_0 + x_1 \times \beta$ )の逆元  $x^{-1}$  ( $= z = z_0 + z_1 \times \beta$ )を4ステップで計算する。

【0082】まず、記憶回路41A、41Bに部分体元  $x_0$ 、 $x_1$  がそれぞれ供給、記憶され、記憶累積回路49の記憶回路48に初期値0が記憶される。

【0083】第1のステップ (第8のタイミング) では、スイッチ回路46が部分体乗算回路45と記憶累積回路49とを電気的に接続し、第3の選択回路43が部

分体元  $x_1$  を選択するとともに第4の選択回路44が部分体元  $x_1$  を選択する。したがって部分体乗算回路45に部分体元  $x_1$  と部分体元  $x_1$  とが供給され、それらの積 ( $x_1^2$ ) が部分体乗算回路45により計算され、スイッチ回路46を介して記憶累積回路49の部分体加算回路47に供給される。

【0084】そして、部分体加算回路47は、記憶回路48に記憶された値 (今の場合、初期値0) と部分体乗算回路45による積 ( $x_1^2$ ) との和を計算し、記憶回路48に記憶させる。なお、このとき、第1および第2の出力回路53A、53Bには値が供給されず特に動作しない。

【0085】次に第2のステップ (第9のタイミング) では、スイッチ回路46が部分体乗算回路45と記憶累積回路49とを電気的に接続し、第3の選択回路43が部分体元 ( $x_0 + x_1$ ) を選択するとともに第4の選択回路44が部分体元  $x_0$  を選択する。したがって部分体乗算回路45に部分体元 ( $x_0 + x_1$ ) と部分体元  $x_0$  とが供給され、それらの積 ( $x_0 \times (x_0 + x_1)$ ) が部分体乗算回路45により計算され、スイッチ回路46を介して記憶累積回路49の部分体加算回路47に供給される。

【0086】そして、部分体加算回路47は、記憶回路48に記憶された値 (今の場合、  $x_1^2$ ) と部分体乗算回路45による積 ( $x_0 \times (x_0 + x_1)$ ) との和 ( $x_1^2 + x_0 \times (x_0 + x_1)$ ) を計算し、記憶回路48に記憶させる。なお、このとき、第1および第2の出力回路53A、53Bには値が供給されず特に動作しない。

【0087】次に第3のステップ (第10のタイミング) では、スイッチ回路46が部分体乗算回路45と第1および第2の出力回路53A、53Bとを電気的に接続し、第1の出力回路53Aのスイッチ回路51Aがオン状態に制御されるとともに第2の出力回路53Bのスイッチ回路51Bがオフ状態に制御され、第3の選択回路43が部分体元 ( $x_0 + x_1$ ) を選択するとともに、第4の選択回路44が、記憶累積回路49に累積記憶している値の部分体逆元回路50による逆元 (今の場合、  $\{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ ) を選択する。

【0088】したがって部分体乗算回路45に部分体元 ( $x_0 + x_1$ ) と部分体元 ( $\{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ ) とが供給され、それらの積 ( $(x_0 + x_1) \times \{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ ) が部分体乗算回路45により計算され、スイッチ回路46を介して第1および第2の出力回路53A、53Bに供給される。

【0089】そして、第1の出力回路53Aだけが、その積をスイッチ回路51Aを介して記憶回路52Aに記憶し、逆元  $x^{-1}$  ( $= z = z_0 + z_1 \times \beta$ ) に対応する部分体元  $z_0$  ( $= (x_0 + x_1) \times \{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ ) として出力する。

【0090】最後に第4のステップ (第11のタイミン

グ) では、スイッチ回路46が部分体乗算回路45と第1および第2の出力回路53A, 53Bとを電気的に接続し、第1の出力回路53Aのスイッチ回路51Aがオフ状態に制御されるとともに第2の出力回路53Bのスイッチ回路51Bがオン状態に制御され、第3の選択回路43が部分体元 $x_1$ を選択するとともに第4の選択回路44が、記憶累積回路49に累積記憶している値の部分体逆元回路50による逆元(今の場合、 $\{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )を選択する。

【0091】したがって部分体乗算回路45に部分体元 $x_1$ と部分体元( $\{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )とが供給され、それらの積( $x_1 \times \{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )が部分体乗算回路45により計算され、スイッチ回路46を介して第1および第2の出力回路53A, 53Bに供給される。

【0092】そして、第2の出力回路53Bだけが、その積をスイッチ回路51Bを介して記憶回路52Bに記憶し、逆元 $x^{-1}$ (= $z = z_0 + z_1 \times \beta$ )に対応する部分体元 $z_1$ (= $x_1 \times \{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )として出力する。

【0093】このようにして第1～第4のステップの処理により、第1の出力回路53Aにより、元 $x$ の逆元 $z$ (= $z_0 + z_1 \times \beta$ )に対応する部分体GF(2<sup>n</sup>)の元 $z_0$ (= $(x_0 + x_1) \times \{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )が記憶、出力され、第2の出力回路53Bにより、部分体GF(2<sup>n</sup>)の元 $z_1$ (= $x_1 \times \{x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )が記憶、出力される。なお、スイッチ回路46, 51A, 51Bおよび第3および第4の選択回路43, 44の制御は、最終的に記憶回路52A, 52Bに記憶される値が上述のようになれば他の方式でもよい。

【0094】以上のように、この実施の形態3によれば、 $n$ が奇数であるガロア体GF(2<sup>2n</sup>)についてのガロア体逆元演算回路における部分体演算回路を1個の部分体乗算回路、2個の部分体加算回路および1個の部分体逆元回路としたので、その他に選択回路、スイッチ回路などが必要になるものの、全体の回路規模を低減することができるという効果が得られる。

【0095】また、演算を4つのステップに分割し、部分体演算のうち出力遅延の大きい部分体乗算を各ステップにおいて1回だけ実行するようにしたので、逆元演算全体での出力遅延が低減され、演算を高速に実行することができるという効果が得られる。

【0096】実施の形態4、この発明の実施の形態4によるガロア体逆元演算回路は、 $n$ を自然数とするガロア体GF(2<sup>2n</sup>)の元 $x$ の逆元 $z$ (= $x^{-1}$ )を演算するものである。図4は、この発明の実施の形態4によるガロア体逆元演算回路の構成を示すブロック図である。

【0097】図において、43Aは、記憶回路41Bに記憶された部分体元 $x_1$ 、部分体加算回路42による和

である部分体元( $x_0 + x_1$ )、および記憶回路61に記憶されたノルムN( $\beta$ ) (第11の部分体元)のうちのいずれかを選択する第3の選択回路である。

【0098】44Aは記憶回路41Aに記憶された部分体元 $x_0$ 、記憶回路41Bに記憶された部分体元 $x_1$ 、部分体逆元回路50による逆元、および記憶累積回路49Aの記憶回路48に記憶または累積された値のうちのいずれかを選択する第4の選択回路である。第4の選択回路44Aにおいて、63は、記憶回路41Aに記憶された部分体元 $x_0$ 、記憶回路41Bに記憶された部分体元 $x_1$ 、選択回路64により選択された値のうちのいずれかを選択する選択回路であり、64は、部分体逆元回路50による逆元、および記憶累積回路49Aの記憶回路48に記憶または累積された値のうちのいずれかを選択する選択回路である。

【0099】49Aは所定のタイミングでの部分体乗算回路45による積を記憶または累積し、部分体逆元回路50に供給する記憶累積回路である。記憶累積回路49Aにおいて、62は部分体加算回路47による和およびスイッチ回路46を介して供給された部分体乗算回路45による積のいずれかを選択し、選択した値を記憶回路48に記憶させる選択回路である。

【0100】61は元 $x$ と部分体元 $x_0$ ,  $x_1$ との対応関係( $x = x_0 + x_1 \times \beta$ )を示す部分体GF(2<sup>n</sup>)に属さないガロア体GF(2<sup>2n</sup>)の元 $\beta$ についてのガロア体GF(2<sup>2n</sup>)から部分体GF(2<sup>n</sup>)へのノルムN( $\beta$ )を供給され記憶する記憶回路である。

【0101】なお、図4におけるその他の構成要素については実施の形態3によるもの(図3)と同様であるのでその説明を省略する。また、ノルムN( $\beta$ )は図示せぬ所定の演算回路により演算され供給される。

【0102】次に動作について説明する。この実施の形態4によるガロア体逆元演算回路は、 $n$ を自然数とするガロア体GF(2<sup>2n</sup>)の元 $x$ (= $x_0 + x_1 \times \beta$ )の逆元 $x^{-1}$ (= $z = z_0 + z_1 \times \beta$ )を5ステップで計算する。例えば $n$ を4とすると、ガロア体GF(2<sup>2n</sup>)がガロア体GF(2<sup>8</sup>)となり、その部分体GF(2<sup>n</sup>)がガロア体GF(2<sup>4</sup>)となる。その場合、実施の形態2と同様のガロア体GF(2<sup>8</sup>)の基底を使用することができる。

【0103】まず、記憶回路41A, 41Bに部分体元 $x_0$ ,  $x_1$ がそれぞれ供給、記憶され、記憶回路61にノルムN( $\beta$ )が供給、記憶され、記憶累積回路49Aの記憶回路48に初期値0が記憶される。

【0104】第1のステップ(第12のタイミング)では、スイッチ回路46が部分体乗算回路45と記憶累積回路49Aとを電気的に接続し、第3の選択回路43Aが部分体元 $x_1$ を選択するとともに第4の選択回路44Aが部分体元 $x_1$ を選択し、選択回路62は、部分体乗算回路45による積を選択する。したがって部分体乗算

回路45に部分体元 $x_1$ と部分体元 $x_1$ とが供給され、それらの積( $x_1^2$ )が部分体乗算回路45により計算され、スイッチ回路46を介して記憶累積回路49Aの部分体加算回路47および選択回路62に供給される。

【0105】そして、部分体加算回路47は記憶回路48に記憶された値と部分体乗算回路45による積との和を計算して選択回路62に供給するが、今の場合、選択回路62は部分体乗算回路45による積( $x_1^2$ )を選択し、記憶回路48に記憶させる。なお、このとき、第1および第2の出力回路53A、53Bには値が供給されず特に動作しない。

【0106】次に第2のステップ(第13のタイミング)では、スイッチ回路46が部分体乗算回路45と記憶累積回路49Aとを電気的に接続し、第3の選択回路43AがノルムN( $\beta$ )を選択するとともに第4の選択回路44Aが記憶回路48に記憶された部分体元(今の場合、 $x_1^2$ )を選択し、選択回路62は、部分体乗算回路45による積を選択する。したがって部分体乗算回路45にノルムN( $\beta$ )と部分体元( $x_1^2$ )とが供給され、それらの積( $N(\beta) \times x_1^2$ )が部分体乗算回路45により計算され、スイッチ回路46を介して記憶累積回路49Aの部分体加算回路47および選択回路62に供給される。

【0107】そして、部分体加算回路47は、記憶回路48に記憶された値と部分体乗算回路45による積との和を計算して選択回路62に供給するが、今の場合、選択回路62は部分体乗算回路45による積( $N(\beta) \times x_1^2$ )を選択し、記憶回路48に記憶させる。なお、このとき、第1および第2の出力回路53A、53Bには値が供給されず特に動作しない。

【0108】次に第3のステップ(第14のタイミング)では、スイッチ回路46が部分体乗算回路45と記憶累積回路49Aとを電気的に接続し、第3の選択回路43Aが部分体元( $x_0 + x_1$ )を選択するとともに第4の選択回路44Aが部分体元 $x_0$ を選択し、選択回路62は、部分体加算回路47による和を選択する。したがって部分体乗算回路45に部分体元( $x_0 + x_1$ )と部分体元 $x_0$ とが供給され、それらの積(( $x_0 + x_1$ )  $\times x_0$ )が部分体乗算回路45により計算され、スイッチ回路46を介して記憶累積回路49Aの部分体加算回路47および選択回路62に供給される。

【0109】そして、部分体加算回路47は記憶回路48に記憶された値(今の場合、 $N(\beta) \times x_1^2$ )と部分体乗算回路45による積( $x_0 \times (x_0 + x_1)$ )との和を計算して選択回路62に供給し、選択回路62は、部分体加算回路47による和( $N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)$ )を選択し、記憶回路48に記憶させる。なお、このとき、第1および第2の出力回路53A、53Bには値が供給されず特に動作しない。

【0110】次に第4のステップ(第15のタイミング)

グ)では、スイッチ回路46が部分体乗算回路45と第1および第2の出力回路53A、53Bとを電気的に接続し、第1の出力回路53Aのスイッチ回路51Aがオフ状態に制御されるとともに第2の出力回路53Bのスイッチ回路51Bがオフ状態に制御され、第3の選択回路43Aが部分体元( $x_0 + x_1$ )を選択するとともに第4の選択回路44Aが部分体逆元回路50による逆元(今の場合、 $\{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )を選択する。

【0111】したがって部分体乗算回路45に部分体元( $x_0 + x_1$ )と部分体元( $\{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )とが供給され、それらの積(( $x_0 + x_1$ )  $\times \{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )が部分体乗算回路45により計算され、スイッチ回路46を介して第1および第2の出力回路53A、53Bに供給される。

【0112】そして、第1の出力回路53Aだけが、その積をスイッチ回路51Aを介して記憶回路52Aに記憶し、逆元 $x^{-1}$ (= $z = z_0 + z_1 \times \beta$ )に対応する部分体元 $z_0$ (= $(x_0 + x_1) \times \{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )として出力する。

【0113】最後に第5のステップ(第16のタイミング)では、スイッチ回路46が部分体乗算回路45と第1および第2の出力回路53A、53Bとを電気的に接続し、第1の出力回路53Aのスイッチ回路51Aがオフ状態に制御されるとともに第2の出力回路53Bのスイッチ回路51Bがオン状態に制御され、第3の選択回路43Aが部分体元 $x_1$ を選択するとともに第4の選択回路44Aが、部分体逆元回路50による逆元(今の場合、 $\{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )を選択する。

【0114】したがって部分体乗算回路45に部分体元 $x_1$ と部分体元( $\{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )とが供給され、それらの積( $x_1 \times \{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )が部分体乗算回路45により計算され、スイッチ回路46を介して第1および第2の出力回路53A、53Bに供給される。

【0115】そして、第2の出力回路53Bだけが、その積をスイッチ回路51Bを介して記憶回路52Bに記憶し、逆元 $x^{-1}$ (= $z = z_0 + z_1 \times \beta$ )に対応する部分体元 $z_1$ (= $x_1 \times \{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )として出力する。

【0116】このようにして第1～第5のステップの処理により、第1の出力回路53Aにより、元 $x$ の逆元 $z$ (= $z = z_0 + z_1 \times \beta$ )に対応する部分体GF(2<sup>n</sup>)の元 $z_0$ (= $(x_0 + x_1) \times \{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )が記憶、出力され、第2の出力回路53Bにより、部分体GF(2<sup>n</sup>)の元 $z_1$ (= $x_1 \times \{N(\beta) \times x_1^2 + x_0 \times (x_0 + x_1)\}^{-1}$ )が記

憶、出力される。なお、スイッチ回路46, 51A, 51Bおよび第3および第4の選択回路43A, 44Aの制御は、最終的に記憶回路52A, 52Bに記憶される値が上述のようになれば他の方式でもよい。

【0117】以上のように、この実施の形態4によれば、 $n$ が自然数であるガロア体 $G F(2^{2n})$ についてのガロア体逆元演算回路における部分体演算回路を1個の部分体乗算回路、2個の部分体加算回路および1個の部分体逆元回路としたので、その他に選択回路、スイッチ回路などが必要になるものの、全体の回路規模を低減することができるという効果が得られる。

【0118】また、演算を5つのステップに分割し、部分体演算のうち出力遅延の大きい部分体乗算を各ステップにおいて1回だけ実行するようにしたので、逆元演算全体での出力遅延が低減され、演算を高速に実行することができるという効果が得られる。

【0119】

【発明の効果】以上のように、この発明によれば、ガロア体 $G F(2^{2n})$  ( $n$ は奇数)の部分体 $G F(2^n)$ の元であってガロア体 $G F(2^{2n})$ の第1の元に対応する第1の部分体元および第2の部分体元の和を第3の部分体元として演算する第1の部分体加算回路と、部分体の元であってガロア体 $G F(2^{2n})$ の第2の元に対応する第4の部分体元と第5の部分体元との和を第6の部分体元として演算する第2の部分体加算回路と、第1の部分体元、第2の部分体元および第3の部分体元のうちのいずれかを選択する第1の選択回路と、第4の部分体元、第5の部分体元および第6の部分体元のうちのいずれかを選択する第2の選択回路と、第1の選択回路により選択された部分体元と第2の選択回路により選択された部分体元との積を演算する部分体乗算回路と、第1の元および第2の元の積に対応する部分体の2つの元のうちの一方となる部分体の元を記憶する第1の記憶回路と、第1の元および第2の元の積に対応する部分体の2つの元のうちの他方となる部分体の元を記憶する第2の記憶回路と、第1の記憶回路に記憶された部分体の元と部分体乗算回路による積との和を演算する第3の部分体加算回路と、第2の記憶回路に記憶された部分体の元と部分体乗算回路による積との和を演算する第4の部分体加算回路と、所定のタイミングにおいて第3の部分体加算回路による和で第1の記憶回路に記憶された部分体の元を更新する第1の更新回路と、所定のタイミングにおいて第4の部分体加算回路による和で第2の記憶回路に記憶された部分体の元を更新する第2の更新回路とで構成するようにしたので、全体の回路規模を低減することができるという効果がある。

【0120】この発明によれば、第1の記憶回路および第2の記憶回路に初期値として0が記憶され、第1のタイミングで、第1の選択回路が第1の部分体元を選択するとともに第2の選択回路が第4の部分体元を選択し、

第1および第2の更新回路が更新をし、第2のタイミングで、第1の選択回路が第2の部分体元を選択するとともに第2の選択回路が第5の部分体元を選択し、第1の更新回路が更新をし、第3のタイミングで、第1の選択回路が第3の部分体元を選択するとともに第2の選択回路が第6の部分体元を選択し、第2の更新回路が更新するようにしたので、乗算全体での出力遅延が低減され、演算を高速に実行することができるという効果がある。

【0121】この発明によれば、 $n$ を自然数とするガロア体 $G F(2^{2n})$ について、第1の選択回路が第1の部分体元、第2の部分体元、第3の部分体元、およびガロア体 $G F(2^{2n})$ から部分体 $G F(2^n)$ へのノルムである第7の部分体元のうちのいずれかを選択し、第2の選択回路が第4の部分体元、第5の部分体元、第6の部分体元、および部分体乗算回路による積のうちのいずれかを選択するようにしたので、全体の回路規模を低減することができるという効果がある。

【0122】この発明によれば、第1の記憶回路および第2の記憶回路に初期値として0が記憶され、第4のタイミングで、第1の選択回路が第1の部分体元を選択するとともに第2の選択回路が第4の部分体元を選択し、第1の更新および第2の更新回路が更新をし、第5のタイミングで、第1の選択回路が第2の部分体元を選択し、第2の選択回路が第5の部分体元を選択した後に第6のタイミングで、第1の選択回路が第7の部分体元を選択するとともに第2の選択回路が第5のタイミングにおける部分体乗算回路による積を選択し、第1の更新回路が更新をし、第7のタイミングで、第1の選択回路が第3の部分体元を選択するとともに第2の選択回路が第6の部分体元を選択し、第2の更新回路が更新をするようにしたので、乗算全体での出力遅延が低減され、演算を高速に実行することができるという効果がある。

【0123】この発明によれば、ガロア体 $G F(2^{2n})$  ( $n$ は奇数)の部分体 $G F(2^n)$ の元であってガロア体 $G F(2^{2n})$ の元に対応する第1の部分体元および第2の部分体元の和を第8の部分体元として演算する第5の部分体加算回路と、第2の部分体元および第8の部分体元のうちのいずれかを選択する第3の選択回路と、部分体 $G F(2^n)$ の元の逆元を演算する部分体逆元回路と、第1の部分体元、第2の部分体元、および部分体逆元回路による逆元のうちのいずれかを選択する第4の選択回路と、第3の選択回路により選択された部分体元と第4の選択回路により選択された部分体元との積を演算する部分体乗算回路と、所定のタイミングでの部分体乗算回路による積を記憶または累積し、部分体逆元回路に供給する記憶累積回路と、部分体 $G F(2^n)$ の元であってガロア体 $G F(2^{2n})$ の元の逆元に対応する第9の部分体元および第10の部分体元のうちの第9の部分体元として所定のタイミングにおいて部分体乗算回路による積を出力する第1の出力回路と、第10の部分体元と

して所定のタイミングにおいて部分体乗算回路による積を出力する第2の出力回路とで構成するようにしたので、全体の回路規模を低減することができるという効果がある。

【0124】この発明によれば、第8のタイミングで、第3の選択回路が第2の部分体元を選択するとともに第4の選択回路が第2の部分体元を選択し、記憶累積回路が部分体乗算回路による積を記憶し、第9のタイミングで、第3の選択回路が第8の部分体元を選択するとともに第4の選択回路が第1の部分体元を選択し、記憶累積回路が記憶している値を部分体逆元回路に供給した後に部分体乗算回路による積を累積記憶し、第10のタイミングで、第3の選択回路が第8の部分体元を選択するとともに第4の選択回路が部分体逆元回路による逆元を選択し、記憶累積回路が累積記憶している値を部分体逆元回路に供給し、第1の出力回路が出力をし、第11のタイミングで、第3の選択回路が第2の部分体元を選択するとともに第4の選択回路が部分体逆元回路による逆元を選択し、記憶累積回路が累積記憶している値を部分体逆元回路に供給し、第2の出力回路が出力をするようにしたので、逆元演算全体での出力遅延が低減され、演算を高速に実行することができるという効果がある。

【0125】この発明によれば、 $n$ を自然数とするガロア体 $GF(2^n)$ について、第3の選択回路が第2の部分体元、第8の部分体元、およびガロア体 $GF(2^n)$ から部分体 $GF(2^n)$ へのノルムである第11の部分体元のうちのいずれかを選択し、第4の選択回路が第1の部分体元、第2の部分体元、部分体逆元回路による逆元、および記憶累積回路に記憶または累積された値のうちのいずれかを選択するようにしたので、全体の回路規模を低減することができるという効果がある。

【0126】この発明によれば、第12のタイミングで、第3の選択回路が第2の部分体元を選択するとともに第4の選択回路が第2の部分体元を選択し、記憶累積回路が部分体乗算回路による積を記憶し、第13のタイミングで、第3の選択回路が第11の部分体元を選択するとともに第4の選択回路が記憶累積回路の記憶値を選択し、記憶累積回路が記憶している値を第4の選択回路に供給した後に部分体乗算回路による積を記憶し、第1

4のタイミングで、第3の選択回路が第8の部分体元を選択するとともに第4の選択回路が第1の部分体元を選択し、記憶累積回路が部分体乗算回路による積を累積記憶し、第15のタイミングで、第3の選択回路が第8の部分体元を選択するとともに第4の選択回路が部分体逆元回路による逆元を選択し、記憶累積回路が累積記憶している値を部分体逆元回路に供給し、第1の出力回路が出力をし、第16のタイミングで、第3の選択回路が第2の部分体元を選択するとともに第4の選択回路が部分体逆元回路による逆元を選択し、記憶累積回路が累積記憶している値を部分体逆元回路に供給し、第2の出力回路が出力をするようにしたので、逆元演算全体での出力遅延が低減され、演算を高速に実行することができるという効果がある。

【図面の簡単な説明】

【図1】この発明の実施の形態1によるガロア体乗算回路の構成を示すブロック図である。

【図2】この発明の実施の形態2によるガロア体乗算回路の構成を示すブロック図である。

【図3】この発明の実施の形態3によるガロア体逆元演算回路の構成を示すブロック図である。

【図4】この発明の実施の形態4によるガロア体逆元演算回路の構成を示すブロック図である。

【図5】従来のガロア体乗算回路を示すブロック図である。

【図6】従来のガロア体逆元演算回路を示すブロック図である。

【符号の説明】

2 第1の部分体加算回路、3, 3A 第1の選択回路、5 第2の部分体加算回路、6, 6A 第2の選択回路、7 部分体乗算回路、8A 第3の部分体加算回路、8B 第4の部分体加算回路、9A スイッチ回路（第1の更新回路）、9B スイッチ回路（第2の更新回路）、10A 記憶回路（第1の記憶回路）、10B 記憶回路（第2の記憶回路）、42 第5の部分体加算回路、43, 43A 第3の選択回路、44, 44A 第4の選択回路、45 部分体乗算回路、50 部分体逆元回路、53A 第1の出力回路、53B 第2の出力回路。

【図1】



2: 第1の部分体加算回路  
 5: 第2の部分体加算回路  
 8A: 第3の部分体加算回路  
 8B: 第4の部分体加算回路  
 9A: スイッチ回路(第1の更新回路)  
 9B: スイッチ回路(第2の更新回路)  
 10A: 記憶回路(第1の記憶回路)  
 10B: 記憶回路(第2の記憶回路)

【図2】



【図3】



42: 第3の部分体加算回路

【図4】



【図6】

